Skip to main content

Kiedy trzeba wyznaczyć Inspektora Ochrony Danych (IOD)?

Kiedy trzeba wyznaczyć Inspektora Ochrony Danych (IOD)?

Co grozi za brak Inspektora Ochrony Danych?

Outsourcing IOD?

Od dnia 25 maja 2018 r. zaczęły w Polsce obowiązywać nowe przepisy. Rozporządzenie Rady UE 2016/679 (z dnia 27 kwietnia 2016 r. Dz. Urz. UE.L. Nr 119) nakłada na podmioty obowiązek wyznaczenia inspektora ochrony danych osobowych

Kiedy Inspektor Ochrony Danych (IOD) jest obowiązkowy ?

Z obowiązkiem powołania Inspektora RODO mamy odczynienia gdy:

  • gdy przetwarzania dokonują organ lub podmiot publiczny z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (dotyczy to więc przykładowo profilowania i oceny osób w ramach szacowania ryzyka, w celu przyznania zniżek składek ubezpieczeniowych),
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych ujawniających poglądy polityczne czy też danych dotyczących zdrowia przetwarzanych przez szpitale), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Co do pierwszej przesłanki sprawa jest prosta, KAŻDY PODMIOT PUBLICZNY z wyjątkiem odpowiednio Sądów. Więcej problemów sprawiają pozostałe grupy.

Obowiązek powołania Inspektora Ochrony Danych spoczywa na administratorze (właścicielu firmy - co do zasady), który przetwarza regularnie i systematycznie dane z różnego typu monitorowania osób, badania preferencji, utrwalania wizerunku, badania rynku, prowadzenia baz danych klientów z akcji marketingowych, których dane te dotyczą. Pojęcie jest znacznie szersze niż zwykłe śledzenia internautów.

W wytycznych Grupy Roboczej art. 29 rozwinięto te obowiązki i wskazano następujące przykłady takiej działalności:

  • obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych,
  • przekierowywanie poczty elektronicznej,
  • działania marketingowe oparte na danych,
  • profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
  • śledzenie lokalizacji (na przykład przez aplikacje mobilne),
  • programy lojalnościowe czy reklama behawioralna,
  • monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
  • monitoring wizyjny,
  • urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, itd.

Jeżeli spełnia się już tylko jedną z wyżej wymienionych usług/przesłanek a przy tym wchodzi to w skład głównej działalności danej firmy i to na dużą skalę, wówczas ciąży na nas obowiązek powołania Inspektora Ochrony Danych, Inspektora RODO.

Podobnie ma się kwestia przy przetwarzaniu szczególnych kategorii danych (dane wrażliwe lub dane sensytywne). Obowiązek powołania IOD występuje gdy przetwarzane są dane:

  • ujawniające pochodzenie rasowe lub etniczne,
  • poglądy polityczne, przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych
  • dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej
  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

W razie przetwarzania danych wrażliwych, obowiązek powołania IOD powstaje już w sytuacji, gdy spełnione są omówione wyżej warunki dużej skali oraz głównej działalności.

Na czym polega outsourcing IOD?

Nowe przepisy europejskie jak i krajowe przechodzą od obecnego modelu dobrowolnego wyznaczania funkcji ABI (administratora bezpieczeństwa informacji) w firmie, do modelu w którym przewidziany jest obowiązek wyznaczenia inspektora ochrony danych, tak zwanego IOD lub IODO. Każda firma bez względu na wcześniejsze regulacje i procedury musi ustalić i dokonać analizy, czy w świetle RODO spoczywa na niej taki obowiązek, czy spełnia którąś z wyżej opisanych przesłanek do powołania Inspektora RODO. Formy zatrudnienia inspektora ochrony danych (IOD) mogą przewidywać pełnoetatowe pełnienie tej funkcji przez zatrudnienie osoby posiadającej odpowiednie kwalifikację, jak i zlecenie firmie zewnętrznej tak zwanego outsourcingu tej funkcji.

Ważne by osoba Inspektora RODO spełniała standardy i posiadała kompetencję ustalone przez komisje UE ds. RODO, oraz Grupy roboczej art. 29, standardy m.in. ENISA, PN-ISO/IEC 27005, PN-ISO/IEC 27002, GIODO oraz pozostałych europejskich organów nadzorczych Unii Europejskiej. Obowiązki Inspektora RODO są szerokie.

Pomoc w spełnieniu wymogów RODO w zakresie zarządzania bezpieczeństwem ochrony danych osobowych może wpłynąć na uniknięcie odpowiedzialności za nieprawidłowe i błędne wdrażanie procedur ochrony danych osobowych. Zgodnie z art. 83 RODO -  brak spełnienia wymagań co do regulacji ochrony danych osobowych, może być zagrożony karą finansową do 10 milionów EURO a nawet do 20 milionów EURO.

Tak zwany Inspektor RODO powinien być już uwzględniany w „Privacy by design” funkcja DPO polega na uwzględnianiu w planowanym projekcie ochrony prywatności od samego początku tworzenia określonego produktu.

Funkcja Inspektora Danych Osobowych

Obowiązki Inspektora RODO

  1. Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
    • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych;
    • nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych;
    • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
  2. Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7.
  3. Weryfikacja procesów przetwarzania danych z uwzględnieniem zasad wskazanych w RODO:
    • identyfikacja i aktualizacji zbiorów danych osobowych;
    • szacowanie ryzyka rodo
    • rejestr incydentów rodo
    • przeprowadzenie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych oraz monitorowanie jej wykonania;
    • weryfikacja klauzul zgód na przetwarzanie danych osobowych oraz klauzul obowiązków informacyjnych, a w razie potrzeby przygotowanie niezbędnych zmian lub opracowanie właściwych dokumentów i klauzul;
    • analiza stosowanych przez Zleceniodawcę techniczno-organizacyjnych środków ochrony, bezpieczeństwa fizycznego oraz informatycznego związanych z przetwarzaniem danych osobowych;
    • przeprowadzenie rejestru czynności przetwarzania danych osobowych;
    • zarządzanie upoważnieniami do przetwarzania danych osobowych;
    • zarządzanie ewidencją osób upoważnionych do przetwarzania danych osobowych;
    • prowadzenie korespondencji z organem nadzorczym;
    • opiniowanie wzorów dokumentów dotyczących ochrony danych osobowych, klauzul zgód na przetwarzanie danych osobowych oraz klauzul obowiązków informacyjnych;
    • wspieranie pracy audytorów zewnętrznych w zakresie ochrony danych osobowych;
    • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Zgłoszenie IOD do UODO

Zawiadomienie o wyznaczeniu inspektora ochrony danych

Należy pamiętać, że jedynym uznawanym, prawidłowym i skutecznym sposobem zawiadomienia o wyznaczeniu Inspektora Ochrony Danych Osobowych jest zawiadomienie w postaci elektronicznej, opatrzone kwalifikowanym podpisem elektronicznym bądź w drugiej opcji podpisem potwierdzonym profilem zaufanym ePUAP (art. 10 ust. 6 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

Jeśli doszło do skutecznego zawiadomienia o wyznaczeniu Inspektora RODO to jest ono potwierdzane Urzędowym Poświadczeniem Przedłożenia (generowanym przez epuap.gov.pl w postaci pliku UPP.xml) Zawiadomienie Prezesa UODO o wyznaczeniu IOD należy dokonać w ciągu 14 dni od dnia jego wyznaczenia (art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

Więcej informacji co do składania zawiadomień IODO pod adresem: https://uodo.gov.pl/pl/121/502

Inspektor Ochrony Danych – jak go wybrać?

Inspektor Ochrony Danych kwalifikacje

Forma wybrania i zatrudnienia inspektora ochrony danych (Inspektora RODO) może być dowolna. Ważne by taka osoba rzeczywiście realizowała obowiązki wskazane w rozporządzeniu RODO. Warto zwrócić uwagę na kwalifikację i ubezpieczenie od odpowiedzialności cywilnej takiej osoby. Ważnym aspektem przede wszystkim jest:

  • by taka osoba pełniła już funkcje Inspektora Danych Osobowych,
  • była ubezpieczona na kwotę przynajmniej 500 tysięcy euro od odpowiedzialności cywilnej,
  • posiadała odpowiednie kompetencje bądź była specjalistą posiadającym tytuł Adwokata bądź Radcy prawnego po certyfikacji.
  • by taka osoba miała za sobą IOD szkolenie.



Zapraszamy do zapoznania się z naszymi usługami w zakresie RODO i Outsourcing IOD.

Zapraszamy do zapoznania się z naszymi usługami w zakresie RODO i Outsourcing IOD.

  • Jako jedyni ubezpieczamy współpracujących z nami Radców prawnych i Adwokatów, na solidną gwarancję finansową - 1 miliona euro (Każdy włącznie).
  • Nasze usługi przygotowują wyłącznie specjaliści posiadający tytuł Adwokata bądź Radcy prawnego którzy pełnią funkcję Inspektorów Ochrony Danych Osobowych.
  • Zapewniamy pełne zabezpieczenie prawne na rynku E-commerce;
  • Efekt będzie szybki i bez wysiłku – 100 % firm stosujących się do naszych wytycznych przechodziło pozytywnie kontrole GIODO, PUODO i UOKiK-u.

Zobacz więcej ciekawych artykułów na naszym blogu prawnym